Kiniškai kalbanti kibernetinių nusikaltimų grupė išplėtė savo taikymą į Europos erdvę, įdiegdama anksčiau nedokumentuotą kenkėjišką programą ir „Atlas“ užpakalines duris.
Stebimas kaip TA4922, grėsmės veikėjas yra susijęs su finansiškai motyvuotomis atakomis, kuriomis siekiama pažeisti tikslinius tinklus sukčiavimo, duomenų vagystės ir prieigos pardavimo tikslais.
TA4922 anksčiau buvo taikoma Rytų Azijos organizacijoms, tačiau pastarosios kampanijos buvo sutelktos į subjektus Vokietijoje, Italijoje, Jungtinėje Karalystėje ir Pietų Afrikoje.
Kibernetinio saugumo bendrovės „Proofpoint“ tyrėjai pažymi, kad TA4922 akcijos sutampa su veikla, kuri anksčiau buvo pranešta kaip „Sidabrinė lapė“ ir „Vid Arachne“. Tačiau veiklos klasteris stebimas atskirai, nes jis labiau atitinka elektroninius nusikaltimus nei šnipinėjimą.
Nuo kovo mėnesio TA4922 aktyvumas smarkiai išaugo, o nuo balandžio mėnesio demonstravo precedento neturinčią veiklos įvairovę ir aukštą tempą.
„TA4922 šiuo metu vykdo daugiau unikalių kampanijų nei bet kuris kitas stebimas kibernetinių nusikaltimų grėsmių veikėjas „Proofpoint“ grėsmių duomenimis, demonstruodamas aukštą veikimo tempą, įvairius masalus ir daugybę tikslų“, – sakoma Proofpoint šiandienos ataskaitoje.
„Nors aktorius vertinamas kaip finansiškai motyvuotas, kenkėjiškos programos galimybės apima stebėjimo galimybes, kurias galėtų panaudoti šnipinėjimo grupės arba parduoti joms.
Užpuolikas naudoja lokalizuotus sukčiavimo jaukus, sukurtus kaip pranešimus apie darbo užmokestį, mokesčių auditą, PVM deklaracijas, vyriausybės atitikties pranešimus, sąskaitas faktūras ir žmogiškųjų išteklių pranešimus.
Grėsmių grupė taip pat bando susisiekti su aukomis per „WhatsApp“, „LINE Messenger“ ir „Microsoft Teams“.
Šaltinis: Proofpoint
Atlas RAT ir individualūs krautuvai
Proofpoint praneša, kad TA4922 gerokai išplėtė savo kenkėjiškų programų arsenalą ir mano, kad įsilaužėliai gali naudoti didelius kalbos modelius (LLM), kad paspartintų kenkėjiškų programų kūrimą.
Ši išvada pagrįsta vietos rezervavimo reikšmėmis, kodo komentarais ir šablonais, paprastai susijusiais su AI sugeneruotu kodu.
„Proofpoint“ ataskaitoje pabrėžiamas Atlas RAT, neseniai identifikuotas nuotolinės prieigos Trojos arklys, siūlantis užpuolikams šias galimybes:
- Sistemos žvalgyba
- Tikslinė failų vagystė
- Papildinių ir naudingų krovinių atsisiuntimai
- Klavišų registravimas
- Ekrano kopijos fiksavimas
- Garso ir internetinės kameros įrašymas
- Sistemos išjungimo/perkrovimo komandos
Kenkėjiška programinė įranga turi keletą anti-smėlio dėžės ir anti-analizės patikrų, įskaitant naudotojų vardų ir registro raktų, susietų su „Microsoft Defender Application Guard“, „CExecSvc“ paslauga ir OS UUID, paiešką.
Šaltinis: Proofpoint
Tyrėjai taip pat atrado naują kenkėjiškų programų įkroviklį, pavadintą RomulusLoader, kuris atsisiunčia ir vykdo papildomus naudingus krovinius naudodamas proceso tuščiavidurį, apvalkalo kodo įvedimą ir tiesioginį vykdymą.
„RomulusLoader“ buvo įdiegta siekiant paleisti teisėtus nuotolinio valdymo įrankius, tokius kaip „AnyDesk“ ir „SyncFuture“, nuotolinio stebėjimo programinės įrangos įrankis, populiarus Kinijoje. Keista, pastaroji buvo naudojama atakoms, nukreiptoms prieš Vokietijos subjektus.
Šaltinis: Proofpoint
„Proofpoint“ taip pat nustatė „Python“ pagrįstą įkroviklį ir informacijos vagystę „SilentRunLoader“, kuri vagia iš „Google Chrome“ kredencialų, slapukų ir naršymo duomenų.
Ši kenkėjiška programa buvo panaudota prieš organizacijas Jungtinėje Karalystėje ir Pietryčių Azijoje, naudojant jaukus, kurie buvo apsimetinėjami vyriausybės paslaugomis.
Galiausiai mokslininkai pastebėjo, kad įdiegta Winos4.0 – anksčiau dokumentuota kenkėjiškų programų šeima, kurią Proofpoint seka kaip ValleyRAT ir kuri operatoriams suteikia visą nuotolinės prieigos funkcijų rinkinį.
Anot „Proofpoint“, TA4922 yra atsakinga už „unikalesnes kampanijas“ nei bet kuris kitas įmonės stebimas grėsmės veikėjas. Grupė juda greitai ir naudoja kelis masalus.
Tyrėjų teigimu, šio veikėjo naudojamos kenkėjiškos programinės įrangos galimybės turi „stebėjimo potencialą, kurį galėtų panaudoti šnipinėjimo grupės arba parduoti joms“.
„Proofpoint“ ataskaitoje pateikiami kenkėjiškų programų ir komandų ir valdymo (C2) infrastruktūros, naudojamos TA4922 atakose, kompromisų rodikliai.
Apsaugos komandos registruoja 54% sėkmingų atakų ir įspėja tik apie 14%. Likusieji juda per jūsų aplinką nematyti.
„Picus“ informaciniame dokumente parodyta, kaip pažeidimo ir atakos modeliavimas tikrina jūsų SIEM ir EDR taisykles, kad aptiktos grėsmės nustotų slysti.
Gaukite baltą lapą
